Certifikační autority rozlehlé sítě mohou vystavovat certifikáty platné jako digitální podpis, či vhodné pro zabezpečení e-mailu pomocí rozšíření S/MIME (Secure Multipurpose Internet Mail Extensions), pro ověření přístupu k zabezpečenému webovému serveru pomocí protokolu SSL (Secure Sockets Layer) nebo TLS (Transport Layer Security) a pro přihlášení k doméně pomocí čipové karty.
Podniková certifikační autorita má následující vlastnosti:
-
Vyžaduje přístup ke službě AD DS (Active Directory Domain Services).
-
Pomocí zásad skupiny šíří vlastní certifikáty do úložiště certifikátů důvěryhodných kořenových certifikačních autorit pro všechny uživatele a počítače v doméně.
-
Publikuje uživatelské certifikáty a seznamy odvolaných certifikátů (CRL) ve službě AD DS. Chcete-li certifikáty publikovat ve službě Active Directory, musí být server s instalací certifikační autority členem skupiny Certificate Publishers. Tato podmínka je v doméně daného serveru splněna automaticky, ale pro publikování certifikátů v jiných doménách je nutné serveru delegovat příslušná oprávnění zabezpečení.
Poznámka | |
Kořenovou certifikační autoritu rozlehlé sítě mohou instalovat pouze členové skupiny Domain Admins nebo správci s právem zápisu do služby AD DS. |
Podniková certifikační autorita vystavuje certifikáty na základě šablon certifikátů. Při použití šablon certifikátů lze využívat následující funkce:
-
Podnikové certifikační autority vynucují během zápisu certifikátu kontrolu pověření uživatelů. Pro každou šablonu certifikátu je ve službě AD DS nastaveno oprávnění zabezpečení, které určuje, zda je žadatel o certifikát autorizován získat požadovaný typ certifikátu.
-
Název subjektu certifikátu může být automaticky generován z informací ve službě AD DS nebo explicitně zadán žadatelem.
-
Modul zásad přidá k vystavovanému certifikátu předdefinovaný seznam rozšíření certifikátu. Rozšíření jsou definována šablonou certifikátu. Sníží se tak množství informací o certifikátu a jeho účelu zadávaných žadatelem o certifikát.
-
K vystavování certifikátů lze použít automatický zápis.